本Help Net Securityインタビューでは、ENISAのインシデント・脆弱性サービス部門長Nuno Rodrigues Carvalho氏が、最近のCVE資金難問題と、それが明らかにした世界的な脆弱性開示インフラの脆さについて論じています。彼はサイバーレジリエンス法やNIS2を含むEU規制が、ベンダーと組織にどのようにより強い責任を生じさせるかについて概説しています。
ENISAはEU加盟国を支援するためのヨーロッパの脆弱性サービスを構築しており、Carvalho氏はまた、実務者がどのように矛盾する情報源をナビゲートするかについても論じており、CVEプログラムは単一の障害点を持たない分散モデルが必要であると主張しています。
MITREとCISAの契約が失効寸前だった時、CVEプログラムは最近大きな資金危機を経験しました。ENISAの視点から、このエピソードは世界的なサイバーセキュリティの基盤となっている脆弱性開示エコシステムの構造的な脆さについて何を示唆していますか?
CVEプログラムは長い間、公開された脆弱性を特定・追跡するための唯一のグローバル参照ポイントとして機能してきており、資金調達の中断はより広いエコシステムがいかに共有参照ポイントとしてのCVE IDに依存しているかを浮き彫りにしました。
CISAとMITRE間の契約の詳細についてはコメントしませんが、脆弱性管理がIT基盤のサイバー脅威への対応力にとって重要であり、その結果として世界的なサイバーセキュリティが継続性の仮定に依存していることを強調します。
欧州連合にとって、当局の規制、運用、そしてレジリエンスの成果は、企業が効果的な脆弱性管理を実施できることに依存しており、それは脆弱性識別エコシステムの安定性と持続可能性を必要とします。これがEUとその加盟国がこの分野での取り組みを強化している理由の一つです。
特に、ENISAは脆弱性開示エコシステムを断片化するのではなく、ヨーロッパの運用上の貢献を強化し、グローバルなCVEバックボーンとの相互運用性を維持し、既存の脆弱性情報をEU全体の軽減化努力と加盟国、CSIRT、EUの内部市場をサポートするための全体的なリスク低減努力に変換するために、脆弱性サービス能力のスケーリングを進めています。
ベンダーは長い間、深刻度の過小報告または開示の遅延のいずれかによって、NVDおよびCVEプロセスを操作していると非難されてきました。ヨーロッパの規制空間内に存在する強制手段、もしあれば、それは何でしょうか、また使用されていますか?
ヨーロッパの規制枠組みはこの分野でますます重要になっています。EUの主な強制手段はサイバーレジリエンス法(CRA)を通じて生まれており、これはEU市場に置かれたデジタル要素を含む製品の製造業者に、定義された期間内に積極的に悪用されている脆弱性と重大インシデントを単一報告プラットフォーム(SRP)を通じて報告することを要求しており、SRPはENISAによって開発・運用される予定です。これらの義務(24時間以内の早期警告、72時間以内の通知、その後のフォローアップ報告)は、より広いプロダクト・セキュリティと市場監視の枠組みの中に位置付けられます。
これらの措置が、デジタル製品の製造者による脆弱性管理への注目の増加をもたらし、報告重大度と開示に関する現在の慣行を改善することを期待しています。
最終的には、製造業者は脆弱性を正確に評価し、脆弱性が発見された場合にリスク管理を実行するために顧客とより大きなコミュニティに責任があるべきです。脆弱性の適時処理、報告、および修復に対するより強い法的責任を創出するCRA以外に、脆弱性調整(したがって開示期間)はEU加盟国の指定調整官によって促進されており、国家CVDポリシー(NIS2に従う)に基づいています。一方、EU脆弱性データベース(EUVD)は、利用可能な脆弱性情報をその脆弱性レコードにマージすることで透明性を促進しています。
NIS2指令が現在実施されている中で、協調的な脆弱性開示は多くの組織にとって義務となります。実際には、脆弱性情報を負債として扱ってきた歴史を持つセクターは、この文化的変化をどのように受け入れていますか?
組織(製造者またはNIS2エンティティ)に義務があるわけではないことは注目に値します。義務はCSIRTが情報を受け取ることにあります。
確かに文化的な調整がありますが、組織がゼロから始まっているわけではないことも念頭に置く必要があります。多くのセクターでは、脆弱性開示は歴史的に非常に慎重に扱われてきました。法務チームは当然ながら、評判上のリスク、責任露出、またはセキュリティの弱点を開示することの潜在的な運用上の影響について懸念していた結果、外部研究者に対してかなり防御的な姿勢を取ることが多くありました。
NIS2(およびCRA)は、協調的な脆弱性開示を標準的なサイバーセキュリティガバナンスの一部として徐々に正常化しています。脆弱性報告を例外的または問題のあるイベントとして扱う代わりに、組織はそれらを受け取り、評価し、修復を調整するための構造化されたプロセスを実装することが期待されています。セキュリティ研究コミュニティとの長い関わりの歴史を持つセクター、特にそれらのセクターは比較的迅速に適応しましたが、他のセクターはまだ、より開かれて関わるために必要な内部プロセスと信頼を構築しています。
EU全体で観察していることは、組織がこの要件に適応していることです。時間がかかりますが、組織はますます、現在のソフトウェア開発が脆弱性報告への積極的な応答を必要としており、これはセキュリティを強化し、適切に処理されると強い販売ポイントになることを認識しています。
ENISAは独自の脅威状況レポートを発行し、加盟国全体のCNAと相互作用しています。高度な重大度の脆弱性にCVEが割り当てられたが、ENISA、NIST、国家CERTの間で充実、分析、および文脈化が異なる場合、例えば中規模のクロアチアのエネルギー企業の実務者は最終的に誰を信頼しますか?
実際には、実務者はしばしば複数の分析ソースに依存しています。脆弱性管理は層状の情報プロセスになっています。
脆弱性識別子(例えばCVE ID)は、エコシステムの誰もが同じ問題について話すことを可能にする共通参照ポイントとして機能し、そこから異なる組織は異なる分析的観点を正当に提供する場合があります。
例えば、国家CSIRTは、セクター固有の露出や地域的な脅威活動を含む、自らの構成員への文脈的関連性にしばしば焦点を当てています。NVD内のNISTの充実作業は、通常、標準化されたスコアリングと構造化されたメタデータに焦点が当てられています。エネルギー事業者内のセキュリティ実務者にとって、実際的なアプローチは通常、これらの観点を組み合わせることです。一貫性のための識別子、修復ガイダンスのためのベンダー勧告、および運用コンテキストと「独立した」重大度評価のための国家またはセクター固有のガイダンス。それゆえ、我々はあらゆる脆弱性の単一の決定的な解釈よりも、ソース間の相互運用性を継続的に観察しています。
しかし、充実、分析、および文脈化の違いに関連する可能な課題に対処するために、ENISAはEU加盟国とともに、脆弱性充実能力を含む、EU脆弱性サービスをさらに開発するために取り組んでいます。これらの取り組みは、調整を強化し、ステークホルダーによってと対象に、一貫性のある、文脈認識のある、機械可読な脆弱性情報の利用可能性を改善することを目的とし、最終的に実務者がリスク管理の決定をより速く、より情報に基づいて行うことを可能にします。
CVEプログラムの次の反復のガバナンス構造についてアドバイスしていたとしたら、あなたが主張したい単一のアーキテクチャ変更は何であり、またそれを実装することで遭遇することが予想される機関的な抵抗は何ですか?
単一のアーキテクチャ修正を指摘するのではなく、次の10年間のための真に持続可能な運用モデルを構築することに焦点を当てる必要があり、分散アプローチと責任、およびレジリエンスを強化する必要があります。このような重要な世界的な共通善サービスは、財務的、制度的、または運用上の「単一の障害点」に過度に依存すべきではありません。より強力なモデルは、共有CVEバックボーンの完全性を保護しながら、能力、サービス、および運用上のサポートを提供できる信頼できる行為者全体で責任を分散させるでしょう。
ENISA の観点から、我々はプログラムに貢献する準備ができており、同時に、ヨーロッパの脆弱性サービス能力の構築を継続しています。
